複数ライセンス割引見積
脅威データベース バンキング型トロイの木馬 Water Saciバンキング型トロイの木馬

Water Saciバンキング型トロイの木馬

バンキング型トロイの木馬, 高度な持続的脅威 (APT), モバイルマルウェアMezoまで
翻訳内容:

サイバー犯罪活動は進化を続けており、ブラジルの脅威アクター「Water Saci」は、その巧妙さにおいて目覚ましい進歩を見せています。最近の攻撃キャンペーンでは、HTAファイル、PDF、WhatsAppなどを用いた多層的な感染チェーンを活用し、バンキング型トロイの木馬を拡散させ、かつてないほど効率的にブラジルのユーザーを標的にしています。

マルチフォーマット攻撃チェーン: PowerShell から Python まで

最新の攻撃は、Water Saciの戦術に大きな変化をもたらしました。以前はPowerShellに依存していましたが、現在はPythonベースの亜種を採用し、WhatsApp Web経由でワームのような方法でマルウェアを拡散しています。

この強化された攻撃チェーンの主な要素は次のとおりです。

PDF ルアー: 被害者は、悪意のあるリンクをクリックして Adobe Reader を更新するように指示する PDF ファイルを受け取ります。

HTA ファイル: 実行されると、これらのファイルは Visual Basic スクリプトを実行し、PowerShell コマンドを起動して、トロイの木馬の MSI インストーラーや WhatsApp の拡散に関与する Python スクリプトなどのペイロードを取得します。

このマルチフォーマットアプローチは、Water Saciが攻撃メカニズムを階層化していることを示しています。おそらくAIや自動ツールを用いてPowerShellスクリプトをPythonに変換しているのでしょう。これにより、マルウェア配信の互換性、速度、回復力、保守性が向上します。

MSIインストーラーとAutoItベースのトロイの木馬ローダー

MSIインストーラーは、バンキング型トロイの木馬の配信メカニズムとして機能します。AutoItスクリプトは、いくつかの重要な機能を実行します。

  • マーカー ファイル (executed.dat) をチェックし、攻撃者が制御するサーバーに通知することで、トロイの木馬のインスタンスが 1 つだけ実行されていることを確認します。
  • Bradesco、Warsaw、Topaz OFD、Sicoob、Itaú などの銀行関連のファイルとアプリケーションをスキャンする前に、システム言語設定 (ブラジルポルトガル語) を確認します。
  • Google Chrome の履歴で、ブラジルの主要銀行 (Santander、Banco do Brasil、Caixa Econômica Federation、Sicredi、Bradesco) への訪問を検索します。

ローダーは、プロセスホロウイングとTDA/DMPファイル経由の中間PEローディングを用いてトロイの木馬をメモリに挿入することで、ステルス性と永続性を実現します。トロイの木馬のプロセスが終了した場合、被害者が銀行サイトにアクセスすると自動的に再挿入されます。

トロイの木馬の機能: 積極的な偵察と認証情報の盗難

Water Saci のトロイの木馬は、次のような監視、制御、データ盗難の高度な機能を備えています。

  • 銀行や暗号通貨のプラットフォームを検出するためのウィンドウ タイトル監視。
  • ブラウザを強制終了して、攻撃者の制御下にあるサイトを再度開きます。
  • WMI クエリによるホストおよびシステムの偵察。
  • 永続性のためのレジストリの変更。
  • リモート制御用のC2通信。
  • サポートされている操作は次のとおりです。
  • システム情報の送信
  • キーボードとスクリーンキャプチャ
  • マウスの活動をシミュレートする
  • ファイル操作(アップロード/ダウンロード)
  • ウィンドウの列挙
  • 偽の銀行オーバーレイの作成

この機能は、Casbaneiro などの LATAM をターゲットとしたバンキング型トロイの木馬に似ており、より高度な配信メカニズムを採用しながらも、構造的および動作的な継続性を反映しています。

PythonベースのWhatsApp伝播

このキャンペーンにおける注目すべき革新性は、ブラウザ自動化ツールであるSeleniumを用いてWhatsApp Web経由でマルウェアを拡散するPythonスクリプトです。Water Saciは、大規模な言語モデルやコード変換ツールを用いて、元のPowerShellによる拡散ロジックをPythonに移植した可能性を示唆する証拠があります。コンソール出力には絵文字も含まれており、この新しいスクリプトの洗練度の高さが伺えます。

Water Saci は WhatsApp の信頼性と範囲を悪用して、大規模にマルウェアを自己増殖させ、従来の防御を回避して急速に被害者を危険にさらします。

結論:メッセージベースのサイバー脅威の新時代

Water Saciキャンペーンは、サイバー犯罪者がWhatsAppなどの正規のプラットフォームを武器にして複雑なマルウェアを展開するという、増加傾向を浮き彫りにしています。ソーシャルエンジニアリング、AIを活用したスクリプト開発、そして多段階のマルウェア配信を組み合わせることで、脅威アクターは従来のセキュリティ対策を回避しながら、バンキング型トロイの木馬への感染を継続的に維持することが可能です。

この事例は、特にメッセージング プラットフォームが日常のコミュニケーションの中心的な役割を果たしているブラジルなどの地域では、警戒の強化、エンドポイントの堅牢な保護、およびユーザーの認識の必要性を強調しています。

トレンド

Lionmerks.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネットを利用する際は、常に注意を怠らないことが不可欠です。特に、ユーザーを欺くための欺瞞的なウェブサイトが進化を続けている現状ではなおさらです。正規のチェック、警告、システムメッセージを模倣したページは、多くの場合、訪問者をセキュリティやプライバシーのリスクにさらす権限やデータを盗み取ろうとしています。 Lionmerks.comを詳しく見る Lionmerks.comは、不正なオン...

Trustedspotsearch.com

不正なウェブサイト, アドウェア, 望ましくない可能性のあるプログラム
安全で信頼性の高いブラウジング体験を維持するには、侵入型で信頼できないソフトウェアからシステムを保護することが不可欠です。PUP(潜在的に迷惑なプログラム)は、便利なツールを装うことがよくありますが、実際にはブラウザ設定を密かに変更し、ユーザーをプライバシーリスクにさらし、デバイスのパフォーマンスを低下させる可能性があります。Trustedspotsearch.comはそのような脅威の一つで...

Cosollic.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
今日の多くのウェブサイトは、ユーザーを欺瞞的な手法で誘導し、セキュリティやプライバシーのリスクにさらそうとしています。そのため、ブラウジング中は常に注意を怠らないことが重要です。その一例がCosollic.comです。これは、訪問者を欺いて不要なブラウザ通知を有効にさせ、疑わしいサードパーティのコンテンツにアクセスさせるように巧妙に作られたページです。これらの不正サイトの仕組みを理解すること...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
48,927
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
38,776
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
36,779
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...